予約・イベント管理機能を提供するプラグイン「Booking for Appointments and Events Calendar – Amelia」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.1.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、スタッフ(従業員)アカウントを持つ攻撃者が、管理者を含む任意のWordPressユーザーのアカウントを乗っ取ることができます。
対策として、バージョン 2.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、スタッフユーザーが自身のプロフィール情報を更新する処理において、WordPressユーザーとの紐づけを示す内部IDの変更を、管理者以外のユーザーに対して防ぐチェックが実装されていなかったことに起因します。
その結果、スタッフ権限を持つユーザーが自身のプロフィール更新リクエストに細工を加えることで、本来変更できないはずの他のWordPressユーザーのアカウント情報を書き換えることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
任意のWordPressユーザーへの影響
- 管理者を含む任意のWordPressユーザーのパスワードやメールアドレスが書き換えられる可能性
- 正規ユーザーが自身のアカウントにログインできなくなる可能性
これにより、攻撃者が対象アカウントに不正ログインし、管理画面を含むサイト全体を掌握するおそれがあります。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者がスタッフ(従業員)アカウントを保有している
- 攻撃者が自身のプロフィール更新機能を通じて不正なリクエストを送信する
管理者など他のユーザーによる操作は一切不要であり、攻撃者単独で実行できます。
技術的な詳細
本脆弱性は、スタッフ情報更新処理において、WordPressユーザーとの紐づけに使用される内部ID(※)の変更を、管理者以外のユーザーに対して防ぐチェックが実装されていなかった点が原因です。
※ 内部ID:プラグイン内のスタッフレコードと、WordPressのユーザーアカウントを対応づけるための識別番号。
この内部IDの値をもとに、パスワード変更・ユーザー情報更新の処理が実行されます。そのため、スタッフ権限のユーザーが自身のプロフィール更新リクエストに任意の内部IDを含めることで、指定した任意のWordPressユーザーに対してパスワード変更・メールアドレス書き換えを実行させることが可能でした。
対策版では、管理者以外のユーザーがこの内部IDを変更しようとした場合、処理を中断するチェックが追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.2 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューから、各ユーザーのメールアドレスに意図しない変更がないか確認してください。
- 不審な変更が確認された場合は、管理者がWordPress管理画面から該当ユーザーのメールアドレスとパスワードをただちに修正してください。
- プラグインの管理画面(「従業員」メニュー)を確認し、スタッフとして登録されているアカウントに不審なものがないかあわせて確認してください。
- 追加のセキュリティ対策
- 本脆弱性の悪用には、スタッフ(従業員)権限を持つアカウントが必要です。スタッフアカウントの付与対象を必要最小限に絞り、不要なアカウントは削除することでリスクを低減できます。
⇒ 不審なユーザーアカウントの変更が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Booking for Appointments and Events Calendar – Amelia 2.1.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5465 
(公開日 2026年4月7日 更新日 2026年4月7日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-5465 悪用確率 0.05% (上位85%) 2026年4月7日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Amelia プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
